2.1.2. Analiza groženj in tveganj
Grožnje največkrat izkoriščajo pomanjkljivosti IKT in ljudi. Z drugimi besedami napadalci iščejo najšibkejši člen v verigi zaščite. V zdravstvenem sektorju je ranljivosti, ki jih je potrebno izpostaviti, veliko. Med najbolj ranljive sodijo naprave IoT, katerih lastnost je, da so zelo povezljive. Pri napravah IoT je zelo pomembno upoštevanje njihove življenjske dobe in aktivno posodabljanje. Ključnega pomena za bolnišnice je tudi, da spoštujejo standarde in priporočila organizacij ter proizvajalcev. Ranljivost sistema
10 2. Standardi in dokumenti
predstavlja tudi dejstvo, da uporabnik nima velikega nadzora s samim delovanjem naprave in ni določenega postopka v primeru zaznave grožnje. Velikokrat se enostavno pridobi nadzor nad samimi povezljivimi napravami. Dodatno nevarnost v verigi lahko predstavljajo še naprave osebja in pacientov.
Največje grožnje za pametne bolnišnice so zlonamerna dejanja, ki jih izvede posameznik ali pa organizacija. Med ta sodijo zlonamerna programska oprema, ugrabitve na nivoju omrežja ali pa naprave, prirejanje medicinskih pripomočkov, kraja podatkov ali naprav, napadi socialnega inženiringa in napadi z zavrnitvijo storitve [21]. Naslednja velika grožnja so človeške napake, med katere štejemo nezbranost, nedovoljen dostop in malomarnost. Grožnja sistemu so tudi sistemske napake, kot so napake naprav ali programov, preobremenitev in mnoge druge. V redkih primerih pa kot grožnja nastopijo tudi naravni pojavi.
Napadalci, ki ogrožajo pametne bolnišnice, v večini primerov delujejo kot zlonamerni bolniki in gostje, oddaljeni napadalci ali pa kot zlonamerni zaposleni.
Uporabljajo različne pristope, med njih sodijo fizična interakcija s sredstvi IKT, brezžična in žična komunikacija ter interakcija z zaposlenimi.
2.1.3. Dobre prakse pametnih bolnišnic
Pametne bolnišnice imajo težko nalogo pri zaščiti pred napadi, pa tudi ko postanejo žrtve, so posledice zelo hude. Obramba postaja vse težja in težja zaradi hitrega povečevanja naprav, povezanih v omrežje, kar potegne za seboj veliko možnih vhodnih točk. Dobre prakse delimo na organizacijske in tehnične.
Pod organizacijske sodijo upravljanje varnosti (določitev varnostne vloge in odgovornosti, ustvarjenje varnostne procedure in razvitje programov ozaveščanja in usposabljanja), upravljanje tveganj (razvitje načrta za nepredvidene razmere, opredelitev tveganj, sredstev in groženj). Skladnost in zagotovitve (sprejetje standardov, izvajanje varnostne revizije in izvajanje ocen varnosti).
Pod tehnične prakse pa sodijo kibernetska varnost in zaščitni ukrepi (mehanizmi preprečevanja, izvajanje dinamične segmentacije omrežja in uporaba požarnih zidov, izvajanje redne varnostne kopije), nadzor varnosti sredstev (konfiguracija in upravljanje sredstev, uporaba postopkov popravljanja in posodabljanja ter izvajanje nadzora dostopa), varnost podatkov (uvedba šifriranja podatkov in razvrščanje podatkov) ter mobilne komponente varnosti (zaščita oddaljenih in mobilnih sistemov zdravstvenega varstva) [21].
11
2.2. Kibernetska varnost javnega naročanja sistemov IKT in naprav v bolnišnicah
Javna naročila so ključni proces, ki oblikuje okolje IKT v sodobnih bolnišnicah, zato morajo biti v ospredju pri doseganju ciljev kibernetske varnosti. Življenjski cikel javnega naročanja je sestavljen iz treh faz, in sicer načrtovanja, pridobivanja in upravljanja.
Kibernetska varnost je pomembna za vse tri faze. Zaradi naraščajočega števila naprav, ki se uporabljajo v bolnišnicah, je vse težje poskrbeti za varno okolje. Po podatkih raziskave je na vsako posteljo v sodobni bolnišnici priklopljenih od 10 do 15 različnih naprav in do leta 2022 se pričakuje rast trga interneta medicinskih stvari do 40 milijard [25], [26]. Cilj za pametne bolnišnice je zagotoviti varen ekosistem, ki bo upošteval vsa sredstva in zagotovil varno javno naročanje omrežne opreme, medicinskih pripomočkov, identifikacijskih sistemov, industrijskih nadzornih sistemov, medicinskih naprav IoT, storitev v oblaku, strokovnih storitev itd. Namen vseh faz in standardov je izboljšati postopek naročanja, da bi izpolnili cilje kibernetske varnosti. Smernice ENISA-e zajemajo od organizacijskih praks za same zdravstvene organizacije do tega, katere informacije je treba pri naročanju sistemov in storitev zahtevati od dobaviteljev kot "dokazila" o kibernetski varnosti.
2.2.1. Javna naročila v bolnišnicah
Javno naročanje v sodobnih bolnišnicah poteka v treh fazah. Prva faza je planiranje – v tej fazi analizirajo poslovne potrebe, identificirajo in zberejo zahteve. Druga faza je faza pridobivanja – tukaj se zahteve prevedejo v tehnične specifikacije in začne se postopek pridobivanja virov. Bolnišnica pridobi ponudbe in jih oceni ter izbere najustreznejše. Faza se zaključi s pogajanji z izvajalcem in oddajo naročila. Zadnja faza pa je faza upravljanja – v tej fazi se podpiše pogodba in določi se skrbnika, ki poskrbi, da vse poteka gladko. Med tipe naročanja sodijo medicinske naprave, omrežna oprema, klinični informacijski sistemi, identifikacijski sistemi, sistemi za oskrbo na daljavo, mobilne odjemalske naprave, sistemi za upravljanje stavb, industrijski nadzorni sistemi, oblačne storitve in profesionalne storitve [22].
Za javno naročanje v sodobnih bolnišnicah skrbi več standardov. Med bolj prepoznavne sodijo ISO/DTR 22696, ISO/DTR 21332 in ISO/WD 13131 [27]–[29].
Glavni izziv za javna naročila v bolnišnicah so klinični informacijski sistemi. Pri teh sistemih je potrebno biti pozoren na ranljivosti komponent, interoperabilnost in popolnoma neprekinjeno delovanje. Drugi izziv so medicinske naprave, kjer je potrebno odpraviti težave s proizvodnimi procesi, najeto opremo, starejšimi napravami, skritimi
12 2. Standardi in dokumenti
funkcionalnostmi in posodobitvami/upravljanjem življenjskega cikla. Izziv predstavlja tudi mreženje zaradi nezaščitenih protokolov in strokovne storitve, kjer so problem človeški dejavniki in varnost pacientov. Dodaten izziv se pojavlja tudi pri sistemu za upravljanje stavb – sistem za industrijski nadzor, tukaj je težava v hibridnih rešitvah IT/OT. Hibridne rešitve omogočajo zbliževanje digitalnega in fizičnega sveta, od pametnih stavb do digitalnih dvojčkov, in vključujejo na primer sisteme za določanje lokacije pacientov in dragocenih sredstev v realnem času, lekarniške sisteme ali operacijske bloke [22].
2.2.2. Varnost javnega naročanja sistemov IKT in naprav
Vsaka vrsta javnih naročil je povezana s svojimi dejavniki tveganja. Pomembno je, da zaposleni v zdravstvenih organizacijah razumejo te dejavnike tveganja in njihov vpliv, ki bi lahko deloval na informacijsko infrastrukturo, zdravje pacientov, informacije o pacientih, diagnozo in kakovost storitve zdravljenja.
Vrste javnega naročanja se razlikujejo po svojih tveganjih. Na prvem mestu so klinični informacijski sistemi, kjer so faktorji tveganja slabo zasnovani ali sprogramirani sistemi, infrastruktura, ki ni sposobna obvladovati sistema in pomanjkanje varnostnih vidikov. Pri industrijskih nadzornih sistemih so faktorji tveganj znana gesla storitev, uporaba nezanesljivih omrežnih protokolov, BMS (angl. Building Management System) je lahko nameščen z odprtimi in izpostavljenimi točkami dostopa ter slaba fizična varnostna zaščita naprav BMS in delovnih postaj. Medicinski pripomočki imajo tveganja pri nešifriranih podatkih, napačni uporabi omrežnih protokolov in odsotnosti kontrol preverjanja pristnosti. Največje tveganje pri mobilno povezanih medicinskih pripomočkih je uporaba ranljivega pametnega telefona, pri identifikacijskih sistemih pa nešifrirani podatki. Poseben tip pa so storitve v oblaku, kjer je največja težava v neustreznem delovanju [22].
2.2.3. Dobre prakse kibernetske varnosti
V tem poglavju so predstavljene dobre prakse kibernetske varnosti pri javnem naročanju. Prakse so razdeljene v faze, kot pri življenjskem ciklu javnega naročanja.
Obstajajo pa tudi splošne dobre prakse, ki so primerne za vse faze cikla. Med splošne dobre prakse spadajo:
• vključitev oddelka IKT v javno naročanje,
• izvajanje postopka prepoznavanja in upravljanja ranljivosti,
13
• razvoj pravilnika za posodobitve strojne in programske opreme,
• izboljšanje varnostnega nadzora za brezžično komunikacijo,
• vzpostavitev politik testiranja,
• vzpostavitev načrtov neprekinjenega poslovanja,
• upoštevanje vprašanj interoperabilnosti,
• omogočanje testiranja vseh sestavnih delov,
• omogočanje revidiranja in beleženja,
• šifriranje občutljivih osebnih podatkov v mirovanju in pri prenosu [22].
Življenjski cikel javnega naročanja se začne s fazo planiranja. V tej fazi so dobre prakse izvedba ocene tveganja kot del postopka javnega naročanja, vnaprej načrtovane zahteve glede omrežja, strojne opreme in licenc. Sledi prepoznavanje groženj, povezanih z izdelki ali storitvami javnih naročil, določanje zahtev omrežja, določitev meril za upravičenost dobaviteljev in oblikovanje posebnega razpisa za zbiranje ponudb za naročanje storitev v oblaku [22].
Fazi planiranja v ciklu javnega naročanja sledi faza pridobivanja. Dobre prakse, ki jih uporabljajo sodobne bolnišnice, so tukaj zahteve za certificiranje kibernetske varnosti, izvajanje ocen učinka v zvezi z varstvom podatkov za nove izdelke ali storitve, nastavitev prehodov za ohranitev povezave med starejšimi sistemi/stroji, zagotavljanje usposabljanja o kibernetski varnosti o varnostnih praksah organizacije za osebje in zunanje svetovalce, izdelava načrtov za odzivanje na incidente, vključitev prodajalca/proizvajalca v upravljanje incidentov, načrtovanje in spremljanje vzdrževalnih del za vso opremo in oddaljeni dostop, ki ga je treba omejiti na najmanjšo možno mero in ga upravljati [22].
Na koncu sledi še faza upravljanja. Dobre praske pri upravljanju so ozaveščanje zaposlenih o kibernetski varnosti, izvajanje popisa sredstev in upravljanje konfiguracije, vzpostavitev posebnih mehanizmov za nadzor dostopa za prostore za medicinske pripomočke in penetracijsko testiranje [22].
2.3. Varnost v oblaku za zdravstvene storitve
Zdravstveni sektor je v procesu digitalizacije in nenehno sprejema nove tehnologije za izboljšanje oskrbe bolnikov, ponudbo novih storitev, ki se osredotočajo na oskrbo
14 2. Standardi in dokumenti
bolnikov na domu, in doseganje operativne odličnosti. Vključevanje nove tehnologije v že zapleteno infrastrukturo IKT odpira dodatne izzive na področju varstva podatkov in kibernetske varnosti. V zadnjem času pa je ta proces še dodatno pospešila pandemija COVID-19, ki je še bolj poudarila nujo zdravstva na oblaku. Pojavile so se številne rešitve v oblaku, ki so zagotovile prilagodljivost in hiter dostop za uvajanje novih storitev, vključno z zdravljenjem na daljavo in telemedicino. Rešitve v oblaku za zdravstvene storitve so odlična priložnost za povečanje operativne učinkovitosti, zmanjšanje stroškov za IKT ter izboljšanje kibernetske varnosti. Ponudniki storitev v oblaku imajo namreč na voljo vire, kot so osebje, znanje o tehnologiji in finančna sredstva, za nenehno izboljševanje kibernetske varnosti.
2.3.1. Zdravstvo v oblaku
Zakonodaja ima zelo pomembno vlogo pri opredeljevanju zahtev kibernetske varnosti in sprejemanju ukrepov. Za zdravstvo v oblaku je politika še v razvoju. Večina članic EU ima posebno zakonodajo za zdravstvene dejavnosti, ki ne nujno zajema kibernetske varnosti niti varnosti za računalništvo v oblaku. Splošni dokumenti in zakoni, ki veljajo za to področje na prostoru EU, so direktiva o varnosti omrežij in informacij (angl. Network and Information Security directive, NISD), splošna uredba o varstvu podatkov (angl. General Data Protection Regulation, GDPR) in različne neregulativne smernice [30], [31].
Osnovne vrste storitve v oblaku so infrastruktura kot storitev (angl. Infrastructure as a Service, IaaS) – gre za storitev, ki se plačuje po potrebi, pri kateri tretja oseba prek interneta v oblaku zagotavlja infrastrukturne storitve, kot sta shranjevanje in virtualizacija, ko jih potrebujete. Druga osnovna storitev je platforma kot storitev (angl. Platform as a Service, PaaS) – pri tej ponudnik strojno in programsko opremo gosti na lastni infrastrukturi ter to platformo kot integrirano rešitev, sklop rešitev ali storitev prek internetne povezave dostavi uporabniku. Tretja storitev pa je programska oprema kot storitev (angl. Software as a Service, SaaS), ki je znana tudi kot storitev aplikacij v oblaku – je najobsežnejša oblika storitve računalništva v oblaku, ki prek spletnega brskalnika zagotavlja celotno aplikacijo, ki jo upravlja ponudnik [32]. Oblak se lahko uvaja na več načinov: privatni, javni, hibridni in vladni oblak [33].
V zdravstvenem sektorju obstajajo številne oblačne rešitve za zdravstvene storitve in njihovo število hitro narašča. Glavne vrste storitev v oblaku v zdravstvenem sektorju so:
• sistemi za načrtovanje virov podjetja (angl. Enterprise Resource Planning, ERP),
15
• bolnišnični informacijski sistemi (angl. Hospital Information System, HIS),
• komunikacijske storitve,
• upravljanje pisarn,
• analiza zdravstvenih podatkov,
• medicinski pripomočki,
• telemedicinske storitve,
• upravljanje verige dobave [23].
2.3.2. Vidiki kibernetske varnosti v oblaku za zdravstvo
Kibernetska varnost v oblaku ima številne izzive in tveganja, ki jih mora rešiti za dobro in varno delovanje. Med glavne izzive sodijo pomanjkanje zaupanja v rešitve v oblaku. Ljudje se tehnologije ne zavedajo, je ne poznajo in zato ji ne zaupajo, brez izobraževanj in delavnic bo ta stopnja zaupanja zelo počasi napredovala. Problem je tudi pomanjkanje strokovnega znanja o varnosti in tehnologiji, saj premik infrastrukture IKT v oblak zahteva veliko znanja in razumevanja področja v povezavi z oblakom ter s kibernetsko varnostjo. Še en velik izziv za sodobne bolnišnice je to, da naložbe v kibernetsko varnost niso prednostna naloga, težave nastopijo pa tudi pri integraciji oblaka s starejšimi sistemi, kar hitro poveča stroške, čemur pa se bolnišnice izogibajo [23].
Številni izzivi nastopijo tudi pri sami zaščiti podatkov v oblaku. Če se osredotočimo na bolj tehnične zahteve za storitve v oblaku v zdravstvu, med glavne sodijo tehnike vgrajene zasebnosti, upravljanje podatkov, brisanje podatkov, prenosljivost podatkov in šifriranje le teh [23].
2.3.3. Varnostni ukrepi v oblaku
Na splošno so varnostni ukrepi v oblaku močno odvisni od izbrane storitve in modela namestitve. Vsak varnostni ukrep v oblaku vključuje:
• sklicevanje na dobre prakse iz Vodnika po javnem naročanju [22],
• sklicevanje na primer uporabe, za katerega se uporablja ukrep,
• navedbo odgovornosti za posamezen primer uporabe,
• dodatne vidike varstva podatkov [23].
16 2. Standardi in dokumenti
Glavni varnosti ukrepi v oblaku, ki jih opredeljuje ENISA, so opredelitev varnostnih zahtev in zahtev za varstvo podatkov, izvedba ocene tveganja in ocene učinka v zvezi z varstvom podatkov, vzpostavitev postopkov za upravljanje incidentov na področju varnosti in varstva podatkov, zagotavljanje neprekinjenega poslovanja in obnovitve po nesreči, prenehanje in varno brisanje podatkov, revidiranje, beleženje in spremljanje, izvajanje upravljanja ranljivosti in popravkov, upravljanje sredstev in razvrščanje informacij, omogočanje šifriranja podatkov v mirovanju in pri prenosu, zagotavljanje varnosti šifriranja, zaščita odjemalcev in končnih točk, preverjanje pristnosti in nadzor dostopa, ozaveščanje, izobraževanje in usposabljanje na področju informacijske varnosti, pregled izolacije med najemniki ter fizična in okoljska varnost.
17
3. Varnostna orodja
Informacijska varnost se nanaša na »ohranjanje zaupnosti, celovitosti in razpoložljivosti informacij«. Doseganje teh ciljev ni trivialno, ker je vse več varnostnih groženj. Zaradi velikega tehnološkega napredka se nove grožnje pojavljajo nenehno. Za zaščito sistemov so bile predstavljene številne varnostne rešitve in orodja. Od varnostnih orodij (angl. security tools), varnostnih standardov pa do najboljših praks. Zaradi velike raznolikosti izdelkov, orodij in tehnik na trgu je tudi usposobljenemu kadru zelo težko zagotoviti, da bi uvedli skladne protiukrepe. V tem razdelku se bom osredotočil na varnostna orodja, ki jih zdravstvene organizacije uporabljajo za zaščito svojih sistemov.
3.1. Protivirusna programska oprema
Protivirusna programska oprema je program ali sklop programov, ki so namenjeni preprečevanju, iskanju, odkrivanju in odstranjevanju programskih virusov ter druge zlonamerne programske opreme. Sodobna protivirusna programska oprema lahko uporabnike ščiti zlasti pred zlonamernimi pomožnimi objekti brskalnika (angl. Browser Helper Object, BHO), neželeno pošto, izsiljevalsko programsko opremo, programom za beleženje ključev, okuženimi in zlonamernimi naslovi URL, trojanskimi konji, črvi, zlonamernimi večplastnimi ponudniki storitev (angl. Layered Service Provider, LSP), klicnimi programi, orodji za goljufije, oglaševalsko in vohunsko programsko opremo [34].
Ta orodja morajo biti nameščena in posodobljena, saj bo računalnik brez protivirusne programske zaščite okužen v nekaj minutah po vzpostavitvi povezave z internetom.
Bombardiranje je stalno, zato morajo protivirusna podjetja redno posodabljati svoja orodja za odkrivanje, da bi se lahko spopadla z več kot 60.000 novimi zlonamernimi programi, ki nastanejo vsak dan [35], [36].
Glavne funkcije vseh protivirusnih programskih oprem so:
• pregledovanje datotek ali imenikov za morebitno zlonamerno programsko opremo ali znane zlonamerne vzorce,
18 3. Varnostna orodja
• omogočanje načrtovanja samodejnega izvajanja pregledov,
• pregledovanje datoteke ali celotnega računalnika, zgoščenke ali bliskovnega pogona kadar koli to želimo,
• odstranjevanje odkrite zlonamerne kode,
• prikazovanje stanja računalnika.
Kibernetski kriminalci postajajo vse bolj spretni in vse pogosteje ciljajo na omrežja in naprave IoT zdravstvenih ustanov, zato je še bolj kot kdaj koli prej pomembno, da si ustanove zagotovijo posodobljeno in redno preizkušeno kibernetsko varnostno zaščito. Žal ukrepi, kot so požarni zidovi in protivirusni programi, ne zadostujejo več za ustrezno zaščito omrežij v objektih in zdravstvenih napravah IoT [37].
3.2. Orodja za analizo groženj
Orodja za analizo groženj (angl. Thread Analysis Tools, TAT) v zdravstvu so element kibernetske varnosti, ki zagotavlja varnost podatkov pacientov in kritičnih sistemov v zdravstveni dejavnosti. Orodja za ocenjevanje groženj pomagajo ublažiti napade z ugotavljanjem morebitnih ranljivosti v arhitekturi kibernetske varnosti organizacije in groženj, ki jih te predstavljajo. Analiza groženj je postopek, s katerim se določi, katere komponente sistema je treba zaščititi in pred katerimi vrstami varnostnih tveganj (groženj) jih je potrebno zaščititi. To prikazuje Slika 5. Te informacije se lahko uporabijo za določitev strateških lokacij v arhitekturi in zasnovi omrežja, kjer je mogoče razumno in učinkovito izvajati varnost [38].
Slika 5: Sredstva in grožnje, ki jih je treba analizirati [38]
Mnogim organizacijam se zdi ocenjevanje tveganj zapleteno, strogo in naporno.
Kljub temu pa obstajajo preprosti, praktični in sprejemljivi pristopi, s katerimi lahko organizacije ocenijo svoje tveganje. Če je v organizaciji več kot pet ljudi, mora le-ta oceniti
19 tveganja, povezana s poslovanjem, in jih ustrezno dokumentirati. Slediti mora varnostnemu pravilu Zakona o prenosljivosti in odgovornosti zdravstvenega zavarovanja (angl. Health Insurance Portability and Accountability Act, HIPAA), ki zahteva, da organizacije in njihovi poslovni partnerji izvedejo oceno tveganja svoje zdravstvene organizacije [39]. Ocena tveganja organizaciji pomaga zagotoviti skladnost z upravnimi, fizičnimi in tehničnimi zaščitnimi ukrepi HIPAA. Ocena tveganja pomaga razkriti tudi področja, na katerih bi lahko bili ogroženi zaščiteni zdravstveni podatki organizacije [40].
Subjekti, ki morajo upoštevati predpise Zakona o prenosljivosti in odgovornosti zdravstvenega zavarovanja, so zdravstveni načrti, večina ponudnikov zdravstvenih storitev, vključno z zdravniki, klinikami, bolnišnicami, domovi za ostarele in lekarnami ter klirinški centri za zdravstveno varstvo [41].
Analiza groženj je običajno sestavljena iz opredelitve sredstev, ki jih je treba zaščititi, ter opredelitve in ocene možnih groženj. Sredstva lahko med drugim vključujejo:
• uporabniško strojno opremo (delovne postaje/PC),
• strežnike,
• specializirane naprave,
• omrežne naprave (vozlišča, stikala, usmerjevalniki, OAM&P),
• programsko opremo (operacijski sistem, pripomočki, odjemalski programi),
• storitve (aplikacije, storitve IP),
• podatke (lokalni/remo, shranjeni, arhivirani, podatkovne zbirke, podatki v tranzitu) [38], [42].
Grožnje lahko med drugim vključujejo:
• nepooblaščen dostop do podatkov, storitev, programske opreme, opreme,
• nepooblaščeno razkritje informacij,
• zavrnitev storitve,
• krajo podatkov, storitev, programske opreme, opreme,
• poškodovanje podatkov, storitev, programske opreme, opreme,
• viruse, črve, trojanske konje,
20 3. Varnostna orodja
• fizične poškodbe [38], [42].
Ocena tveganja v zdravstvu zajema politike in postopke, ki se uporabljajo pri odkrivanju, zmanjševanju in izogibanju tveganj v zdravstvenih ustanovah. S pomočjo ocene organizacije odkrijejo, katere dejavnosti je treba izboljšati v organizaciji, katere programske aplikacije je treba spremeniti in katere pomembne informacije potrebujejo zaposleni za učinkovito opravljanje svojih nalog. Dodatna prednost izvajanja ocene v zdravstvu je tudi, da nam pomaga pri obračunavanju, zamudah pri pacientih, podvajanju del in pomislekih glede varnosti in kakovosti dela.
Glavna orodja, ki se uporabljajo na tem področju, so programska oprema Vitaleyez (angl. Vitaleyez software), matrika tveganja (angl. risk matrix), drevo odločanja (angl.
decision tree), analiza načinov in učinkov napak (angl. Failure Modes and Effects Analysis), model Bowtie v orodjih za upravljanje skladnosti (angl. Bowtie Model in Compliance Management Tools) [6].
Vitaleyez software je program, ki zagotavlja osnovo statističnih zapisov sistemov pri oceni tveganja [43]. Programska oprema prejme informacije o sistemu, kot so opis sredstva, številka modela in prejšnja ocena, neposredno iz programa za ocenjevanje tveganj. Z orodjem se lahko dokumentira vse dejavnosti v določeni zdravstveni organizaciji in ugotovi, kje so največja tveganja, ter odloči, kako se bomo z njimi borili, da jih bomo izničili ali zmanjšali.
Vitaleyez software je program, ki zagotavlja osnovo statističnih zapisov sistemov pri oceni tveganja [43]. Programska oprema prejme informacije o sistemu, kot so opis sredstva, številka modela in prejšnja ocena, neposredno iz programa za ocenjevanje tveganj. Z orodjem se lahko dokumentira vse dejavnosti v določeni zdravstveni organizaciji in ugotovi, kje so največja tveganja, ter odloči, kako se bomo z njimi borili, da jih bomo izničili ali zmanjšali.